Arkaluontoisten korttitietojen tallennus kielletty 31.12.2008 jälkeen
Kommentoi
VISA Europe on julkaissut uuden PCI DSS -vaatimuksenmukaisuutta koskevan aikarajan. 31.12.2008 jälkeen on kiellettyä tallentaa ja säilyttää ns. arkaluontoista korttitietoa (sensitive authentication data, esim. koko magneettiraita ja CVV2-tieto).
Tietojemme mukaan vaatimusta aiotaan tehostaa 5.000 euron sanktiomaksulla.
Luottokunnan tiedote asiasta löytyy Luottokunnan PCI-tiedotesivustolta.
Nixun tulkinta asiasta
Vaatimus arkaluontoisen korttitiedon säilyttämisestä ei ole uusi, vaan se on aina ollut osa PCI-tietoturvastandardia (vaatimus 3.2). Luottokorttiyhtiöt ovat myös aikaisemmin asettaneet erilaisia aikarajoja standardin noudattamiseen liittyen, mutta ensimmäistä kertaa sanktiot koskettavat myös Suomea. On oletettavaa, että tulevaisuudessa vastaavia aikarajoja ja sanktiota tulee lisää.
Ottaen huomioon asetetun aikarajan sekä vuodenajan, on aikaraja Nixun näkemyksen mukaan todella tiukka: mikäli organisaatio tallentaa arkaluontoista korttitietoa, on tallennuksen lopettaminen sekä jo olemassa olevan tiedon tuhoaminen äärimmäisen haasteellista näin lyhyellä aikavälillä.
Nixu kehottaa asiakkaitaan edelleen lähestymään PCI-vaatimuksenmukaisuutta riskienhallinnan pohjalta: arkaluontoisen korttitiedon säilyttäminen nostaa merkittävästi mahdollisesta tietoturvapoikkeamasta aiheutuvaa riskiä. Arkaluontoisen korttitiedon avulla on mahdollista tehdä vakavampia luottokorttipetoksia, minkä johdosta tällainen tieto on erityisen haluttua rikollisten keskuudessa. Mahdollinen tietoturvapoikkeama, jossa arkaluontoista korttitietoa joutuisi rikollisten käsiin, aiheuttaisi siten myös suuremmat vahingonkorvausvaatimukset.
Miten toimia mikäli tallennat arkaluontoista korttitietoa?
Ensimmäinen askel on lopettaa arkaluontoisen korttitiedon tallentaminen, mikä voi vaatia muutoksia useisiin sovelluksiin.
Tässä asiassa kannattaa kääntyä järjestelmätoimittajien puoleen: heidän tulee muuttaa järjestelmänsä siten, että tällaista tietoa ei enää tallenneta. Etäkauppiaiden (card-not-present) tulisi lisäksi tarkistaa ettei CVV2-tietoa tallenneta kortin varmennuksen jälkeen.
Vaikeaa voi olla myös löytää jo tallennettu arkaluontoinen korttitieto, sillä tieto on yleensä levinnyt useaan järjestelmään. Nixun kokemuksen mukaan arkaluontoista korttitietoa voi löytyä esimerkiksi seuraavista paikoista:
- Kassatyöasemat (transaktiolokit, transaktiotiedostot, paikallinen tietokanta)
- Kassapalvelimet
- Tietokantapalvelimet
- Pankkiyhteysohjelmisto ja tiedonsiirtopalvelu
- Raportit (erityisesti CVV2-tieto)
- Varmistusjärjestelmät ja mediat (esim. varmistusnauhat)
- Asiakassopimukset (erityisesti card-not-present-kauppiaat ja CVV2-tiedon tallennus)
- Työasemat (erityisesti card-not-present-kauppiaat ja CVV2-tiedon tallennus)
blogi